12月1日“KILL安全中心”发出紧急警报——Win32.Reckmess.A后门特洛伊程序登上本周病毒榜首位。据介绍,Win32.Reckmess.A具有很高的破坏性,其由特洛伊下载程序(Reckmess.A!downloader)和后门程序(Win32.Reckmess.A)组成,它们分别是3,114字节的Win32 可执行文件和48,887字节的PEC Win32可执行文件。
通常,该特洛伊程序会把自己的下载程序Reckmess.A!downloader伪装成“bla.exe”,一旦用户执行了bla.exe程序,它会从“c:\winamp.exe”下载包含病毒的代码并自动执行,然后再自动删除“bla.exe”文件。当用户不慎执行了该后门特洛伊时,它便立刻自我复制到%System%\< 任意文件名>.exe并移动某些注册键值,以确保每次系统运行时执行它:HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JavaUpdate0.07 = "%System%\.exe" 。一旦用户的计算机系统感染了该特洛伊程序,它会在被感染机器上打开任意端口来接受指令,而该后门允许攻击者控制计算机下载并运行任意文件,下载的文件会被保存到系统目录下并可被任意命名成.exe文件。更可怕的是,该特洛伊程序还可以强制停止计算机系统运行的若干程序进程,甚至包含安全软件的进程。
对此,“KILL”安全专家提示网民切勿随意打开和执行不明来历的电子邮件,更不要随意添加无任何限制的共享目录,最好及时升级杀毒软件的病毒代码库。而对于已感染该蠕虫的计算机则可应用“KILL安全胄甲inoculateIT v23.67.32vet 11.x/8733版”检测和清除Reckmess特洛伊程序。
